《南方周末》调查了输入法的隐私问题（付费墙，微信）。根据 Mob 研究院数据，2020 年搜狗、讯飞和百度三家输入法占据了国内市场九成的活跃用户，其中搜狗占有率最高，54%。2020 年 9 月，腾讯全资收购了搜狗。第三方输入法被广泛使用，但其潜在的隐私问题也日益引起关注。搜狗、讯飞和百度三家的隐私协议表示，用户信息共享方主要为输入法服务商的关联公司、合作伙伴。合作伙伴包括广告、分析、信息推广服务类的授权合作伙伴，供应商、服务提供商和其他合作伙伴如第三方SDK，以及提供风控服务的合作方。

巴西几乎所有人的信息泄露。泄露的数据为 14 GB，包含了 1.04 亿车辆和 4000 万家企业详细信息，潜在受影响人数 2.2 亿。巴西人口 2.1 亿，这意味着巴西所有人的信息都被泄露（还有部分在巴西生活的外籍居民）。泄露的信息包含了姓名、出生日期和 CPF 号码。CPF 号码是巴西税务局分配给居民和需要纳税的外籍居民的数字。网络安全公司对钓鱼骗局发出了警告。

Google 周一宣布它可能找到了 cookies 的隐私友好替代。它测试了名为 Federated Learning of Cohorts (FLoC)的新 API，其源代码发布在 GitHub 上。测试显示，相比基于 cookies 的广告，FLoC 广告的转化率至少达到 95%。FLoC 使用机器学习算法分析用户数据，然后根据个人访问的网站将数千用户分成一组，数据是浏览器在本地收集的不会分享出去，但这群用户的数据会共享并被用于定向广告。也就是说 FLoC 广告是根据一个人的普遍兴趣进行针对性展示。

一名黑客在黑客论坛泄露了 228 万约会网站 MeetMindful.com 注册的用户数据。泄露数据容量约 1.2 GB，包含了部分敏感的用户真实信息，包括真实姓名、地址和邮编、电子邮件、约会偏好、婚姻状况、出生日期、经纬度、IP 地址、Bcrypt 哈希的账号密码、Facebook 用户 ID、Facebook 身份验证令牌。泄露数据不包含用户之间交流的信息。

德国下萨克森州的数据监管机构对一家德国在线笔记本零售商 NBB 开出了在欧盟数据保护条联 GDPR 下最高的罚款：1040 万欧元。原因是它在过去两年无任何法律依据就对雇员展开了持续的视频监控。NBB对工作场所、门市部、仓库和公共区域进行了视频监控，声称是为了防止其产品被盗。但数据监管机构称，如果要防止盗窃，公司首先应该采取“适度”的方法如在员工离开时随机检查包，只有对特定员工存在“合理的怀疑”时候才能使用视频监视，而且视频监视只能在有限的时间内使用。NBB 的视频监控不是限定在特定时间或特定雇员，被认为在 GDPR 下是不可接受的。

腾讯QQ在问答网站知乎的官方账号回应了 QQ 扫描浏览器历史数据，声称是为防止恶意登陆。腾讯是知乎的股东。它在声明中称，在收到报告之后它的安全团队“发现 PC QQ 存在读取浏览器历史用以判断用户登录安全风险的情况，读取的数据用于在 PC QQ 的本地客户端中判断是否恶意登录。所有相关数据不会上传至云端，不会储存，也不会用于任何其他用途。具体情况为，该操作为历史上线的一个对抗恶意登录的技术解决方案：因系统识别有不少伪造的 QQ 客户端会恶意访问多个网站作为前期辅助工作，因此在 PC QQ 客户端中加入了检测恶意和异常的访问逻辑，以此作为辅助手段去判断恶意客户端。对本次事件，我们深表歉意，内部正梳理历史问题并强化用户数据访问规范。目前，我们已经更换了检测恶意和异常请求的技术逻辑去解决上述安全风险问题，并发布全新的 PC QQ 版本。为减少不便，所有受影响的 PC QQ 历史版本将在今天开始进行热更新和推送升级包。同时，手机端 QQ 不存在上述操作，不受影响。”此前用户发现 QQ/TIM 会扫描基于 Chrome/Chromium 的浏览器默认历史纪录存放位置，搜索电商网站如京东的购物连接，匹配投资炒股等关键字。

腾讯消息应用 QQ 以及 QQ 办公版 TIM 被发现会扫描用户的浏览器历史，搜索购物记录选择性上传。用户报告，QQ 在登陆 10 分钟之后开始扫描 Appdata\Local\下的所有文件夹，对其中 User Data\Default\History 进行进一步的扫描，User Data\Default\History 是基于 Chrome/Chromium 的浏览器默认历史纪录存放位置，Firefox 的浏览历史存放位置不同，因此目前看来不受影响。不过 Firefox 市场份额不高，而基于 Chrome/Chromium 的浏览器占据了九成以上的份额。

短视频应用 TikTok 推出了一系列保护儿童的措施，所有不满 16 岁的用户账号将自动设为私有，只有批准的粉丝才能在这些账号发布的视频下留言。不满 16 岁用户创建的视频也被禁止下载。13 到 15 岁用户可以批准粉丝和选择是否公开视频，但他们的账号不会推荐给其他用户。16 到 17 岁用户也可以不允许下载他们创建的视频，他们也可选择关闭这一限制。

22 岁的 Apu Sarker和他的家人住在孟加拉国拉杰沙希北郊的一座村庄里。直到最近，他都一直是一名医务助理。他的父亲和祖父都是农民。Apu 家族里的男性似乎都有一种基因突变。这种突变非常罕见，被认为只会影响相当少的家庭——他们没有指纹。在其祖父的时代，没有指纹没有什么大不了的。但在过去的几十年里，人们指尖上那些微小的纹路已成为世界上收集最多的生物特征数据。从机场通关到选举，再到打开智能手机，对指纹的需求几乎无处不在。从 2008 年开始，孟加拉国的国民身份证、护照和驾照，甚至购买 SIM 卡时都必须录入指纹。如今他家中所有的男性成员都只能使用以他母亲名义注册的手机卡。这种罕见病被称为皮纹病（Adermatoglyphia），患者名叫“SMARCAD1”的基因发生了突变。

随着越来越多的网站普及 HTTPS，明文的服务器名称指示（Server Name Indication，SNI）成为新的隐私漏洞。通过明文 SNI，ISP 或任何网络中间人将会知道你访问了哪个网站。两年前，Mozilla 宣布 Firefox Nightly 加入了对加密 SNI 的支持。但自 SNI 规格草案发布以来，分析显示只加密 SNI 扩展所提供的保护是不完整的。举例来说，在会话重用过程中，Pre-Shared Key 扩展会包含 ESNI 加密的服务器名称的明文副本。为了解决 ESNI 的不足之处，较新版本的规格不再只加密 SNI 而是加密整个 Client Hello 信息。因此规格的名字也从 ESNI 改为 ECH。从 Firefox 85 起，浏览器用 ECH 取代了 ESNI，about:config 也不再展示 ESNI 选项。该功能尚未默认启用，如果用户想要默认启用可以进入 about:config 将设置 network.dns.echconfig.enabled 和 network.dns.use_https_rr_as_altsvc 设为 true。

新加坡政府决定将新冠接触者跟踪应用 TraceTogether 收集的数据用于犯罪调查。这一信息是在议会询问中披露的，副议长 Christopher De Souza 被问道跟踪应用的数据是否会用于犯罪调查，如果是那么是否有恰当的法律法规和保障措施。内政部长 Desmond Tan 回应称，新加坡的刑事诉讼法允许警方获得任何数据用于犯罪调查，其中包括 TraceTogether 收集的数据。内政部长表示有严格的保障措施保护个人数据。

印度支付处理公司 Juspay 一亿多借记卡和信用卡用户的信息被泄露放到暗网销售。该公司的企业客户包括了亚马逊印度、Swiggy 和 MakeMyTrip 等。泄露的数据源自一个遭到入侵的 Juspay 服务器，该公司已经证实了此事，称入侵发生在 2020 年 8 月 18 日，泄露的数据集包括了非敏感的银行卡掩码信息、电话号码和电邮 ID。发现数据泄露的安全研究员 Rajshekhar Rajaharia 表示，如果黑客找到了哈希银行卡号码的加密算法，这一数据泄露将会严重得多。

2018 年的一个晚上，结婚 5 个月的 21 岁大学生 Ayushi Sahu 正在看望父母，她的丈夫及其公公未提前告知的情况下现身。她的丈夫展示了他手机上记录的 Sahu 与朋友之间的通话，以及呼叫历史、短信、WhatsApp 消息、照片和视频。Sahu 意识到被她的丈夫秘密监视了几个月。他的丈夫对她向母亲抱怨公婆的问题很生气，不喜欢她与男性朋友交谈。Sahu 当时十分震惊。她后来才搞明白，丈夫作为订婚礼物送给她的 Vivo 手机秘密安装了间谍程序。间谍程序可能是丈夫自己安装或咨询了私家侦探。印度私家侦探协会主席辛格（Kunwar Vikram Singh）称，在印度富有家庭雇佣私家侦探评估候选新娘或新郎是十分普遍的事情，毕竟结婚是要花很多钱的，花少许钱给私家侦探调查一下是很合算的。辛格估计这个行业价值约 12 亿美元，因为敏感，大部分客户都是使用现金，不想留下蛛丝马迹。消费级间谍软件也随着私家侦探生意的兴起而流行起来。

纽约州长 Andrew Mark Cuomo 周二签署了一项法案，暂停在学校使用面部识别和类似的生物识别技术，并要求开展研究在学校使用此类技术是否合适。法案要求学校在 2022 年 1 月 1 日前或报告完成或教育专员授权使用前暂停购买和使用生物识别技术。这一规定适用于纽约州的公立和私立学校。美国公民自由联盟（ACLU)表示这是学生的隐私和有色人种学生的胜利，纽约引领了潮流，其它州应该效仿。

为了遵守欧洲隐私法律的变动，Facebook Messenger 和 Instagram 将在欧洲关闭部分功能。从 12 月 21 日起，消息应用在欧洲将需要遵守被称为 ePrivacy 指令的新规定。Facebook 决定关闭部分互动功能，暂时只提供核心消息服务。群聊投票是关闭的功能之一。核心的短消息和呼叫功能不受影响。社交巨人在一份声明中称，它仍然在寻找带回这些功能的最佳方式。

最大的开源代码托管平台 GitHub 宣布移除所有非必要 cookies 以保护开发者的隐私。CEO Nat Friedman 在官方博客中称，访问 GitHub 网站不会向任何第三方分析服务发送信息，GitHub 不会使用 cookies 展示广告，也不会利用 cookies 跟踪用户在其它网站的活动。GitHub 将只使用 cookies 用于 GitHub.com 的服务，在 GitHub 上进行开发协助开发者无需牺牲任何隐私。

尼日利亚电信监管机构 Nigerian Communications Commission 命令手机用户关联手机号码和国家身份证号。手机用户必须在 12 月 31 日前遵守这一要求，否则其电话将会在 1 月份被切断。数据显示，截至 2020 年 6 月这个非洲最大的经济体有 1.96 亿活跃手机用户，其中只有 4150 万人关联了身份证号码。行业游说组织尼日利亚电信公司协会支持监管机构的计划，但认为截止日期需要延长。尼日利亚议员周三通过决议建议监管机构延长截止日期 10 周。

2019 年，Mozilla 呼吁苹果通过自动重置 iPhone 上的 Identifier for Advertisers (IDFA) 来增强用户的隐私保护。IDFA 是一个随机生成的标识符，由苹果分配给设备。应用可以使用这些标识符关联用户的活动，向用户展示定向广告。2020 年初，苹果更进一步的宣布将给与用户选择退出每个应用的跟踪，这本质上是关闭 IDFA。但此举遭到了 Facebook 为代表的广告商的强烈反对。苹果并没有让步，但推迟了反跟踪功能的实现。Mozilla 发起倡议，呼吁共同督促苹果加快实现反跟踪技术。

上个月中旬，苹果用户报告应用程序失去响应或需要数分钟时间才能启动运行。问题是苹果 OCSP（Online Certificate Status Protocol）服务器宕机导致的，此事暴露出苹果会收集用户在苹果系统启动的每一个应用程序的信息。苹果随后承诺停止记录用户 IP 地址，将确保所有任何收集的 IP 地址从日志里移除，明年将提供关闭的选项。自由软件基金会对这起事故发表文章称，苹果的做法在道德上是不可接受的，认为无法确保苹果是否值得信任，是否能真正改进隐私保护，因为 OCSP 系统的基础是关于征服而不是安全。FSF 建议苹果用户转移到 GNU/Linux，因为选择自由而不是选择企业独裁主义是重新获得数字自主权控制自己的计算机的最重要一步。

传统的 DNS 查询是明文的，其隐私问题越来越引起关注。为了保护用户隐私 IETF 标准化了两种协议 DNS over HTTPS (DoH) 和 DNS over TLS (DoT)去加密 DNS。Firefox 等已经加入了对 DoH 的支持，而云服务商 Cloudflare 是一个主要的公共 DoH/DoT 服务商。但 DoH/DoT 的推出也引发了两个问题，其一是 DNS 的中心化引入了单点故障，其二是解析器仍然可以将所有查询关联到客户 IP 地址。为了更好的保护用户隐私，Cloudflare、Fastly 和苹果的工程师合作开发了新的协议 ODoH（代表 Oblivious DNS over HTTPS）。ODoH 加入了一个公钥加密层以及客户端和 DoH 服务器之间的网络代理，确保只有用户才能访问 DNS 信息及其 IP 地址。工程师们用 Rust、Go 等语言实现了互操作 ODoH 实现并将其开源，Cloudflare 的公共 DNS 服务器 1.1.1.1 已经能支持 ODoH 查询。Firefox 已经表达了支持 ODoH 的意愿。